Cualquiera que pase bastante tiempo en la web conoce la escena: ves una foto perfecta, clic derecho, “Guardar imagen como…” y listo. Esa rutina funciona bien cuando el archivo es JPG o PNG, formatos “de toda la vida” que casi cualquier visor abre sin quejarse. El problema aparece cuando la imagen está en WebP, un formato cada vez más común porque suele comprimir mejor y pesa menos. En ese caso, el mismo gesto de siempre te deja un archivo con extensión .webp que, según el dispositivo y la app que uses, puede abrirse sin problemas… o quedarse como una caja cerrada.
Para mucha gente, WebP es como recibir un paquete con un tipo de cierre distinto: no es que el contenido sea malo, es que te falta la herramienta adecuada para abrirlo. Y ahí es donde entran las extensiones del navegador, esos “atajos” que prometen resolver fricciones cotidianas con un clic.
Save Image as Type: la herramienta que parecía inocente
Durante años, una de las soluciones más populares fue Save Image as Type, una extensión de Chrome que permitía forzar el guardado de imágenes en formatos como PNG o JPG incluso cuando la web ofrecía WebP. La propuesta era simple y seductora: en lugar de descargar y luego convertir, podías elegir el formato desde el menú contextual y continuar con tu día.
No hablamos de una extensión minoritaria. Según recogió Android Police, llegó a superar el millón de usuarios y se convirtió en un complemento habitual para quienes trabajan con imágenes, hacen capturas para documentos o simplemente quieren evitar incompatibilidades en su visor de fotos. En redacciones y entornos de trabajo, estas extensiones se integran en la rutina como una tecla rápida: hasta que fallan, casi nadie piensa en ellas.
La alerta de Google: malware y retirada del Chrome Web Store
El giro llega cuando Google desactiva la extensión y muestra un aviso directo: “esta extensión contiene malware y no es segura”. Ese tipo de advertencia no es un simple tirón de orejas. En el ecosistema de Chrome, una desactivación acompañada de ese mensaje implica que la extensión ya no es solo “poco recomendable”, sino potencialmente dañina.
La advertencia también apunta a un riesgo que mucha gente pasa por alto: una extensión con permisos amplios puede “ver y cambiar los datos en los sitios que visitas”, lo que incluye información sensible. Es fácil olvidar que el navegador es una especie de sala de control de nuestra vida digital: correos, compras, redes, banca, trabajo. Darle acceso a una extensión es como entregarle una copia de la llave de esa sala. Normalmente no pasa nada, hasta que pasa.
Qué se investiga: cookie stuffing escondido en iframes
La parte más técnica del caso, y la que ayuda a entender por qué una extensión “para guardar imágenes” puede convertirse en un problema, viene del análisis citado por XDA. Según esa investigación, el comportamiento sospechoso estaría relacionado con una técnica conocida como cookie stuffing.
Traducido a un ejemplo cotidiano, imagina un programa de fidelización que te da puntos si alguien entra a una tienda gracias a tu recomendación. El cookie stuffing sería como meter tu tarjeta de socio en el bolsillo de personas al azar, sin que lo sepan, para que cuando compren algo tú te lleves el mérito. En la web, ese “mérito” se traduce en cookies de afiliación que atribuyen ventas a quien las colocó, aunque no haya influido en la compra.
El método descrito incluye el uso de iframes ocultos, pequeños elementos incrustados en una página que pueden cargar contenido sin que el usuario lo perciba. Si ese mecanismo coloca cookies de seguimiento asociadas a enlaces de afiliados, el resultado es que la extensión podría estar intentando reclamar comisiones por compras en las que no ha participado. Es un tipo de abuso que se ha visto en otros contextos y que, en general, choca con las normas de tiendas de extensiones y con las expectativas básicas de confianza del usuario.
Por qué esto importa aunque “solo” fueran cookies de afiliados
Es tentador minimizarlo: “si solo quería ganar dinero con afiliados, tampoco es para tanto”. El problema es que, para hacerlo, una extensión suele necesitar tocar piezas delicadas del navegador. Las cookies no son solo “rastros” publicitarios; también participan en inicios de sesión, preferencias y otras interacciones. No es que una cookie de afiliación vaya a robarte la contraseña por sí misma, pero el patrón es preocupante: si una herramienta se permite técnicas ocultas para un fin económico, la línea de lo aceptable ya se ha cruzado.
También está la dimensión de confianza: la mayoría instala extensiones porque ahorran tiempo. Es como pedirle a alguien que te ayude a ordenar el escritorio y descubrir que, mientras lo hace, aprovecha para colocar etiquetas en tus cajones para cobrar comisión cuando compras. No es un ataque frontal, pero sí una manipulación que no has consentido.
Qué hacer si la tenías instalada: eliminar no siempre basta
Si has usado Save Image as Type recientemente, el primer paso es quitar la extensión. Aun así, eso no garantiza que todo vuelva a estar limpio, porque las cookies o rastros que haya dejado en el navegador pueden permanecer. La recomendación que se desprende del caso es clara: conviene borrar los datos de navegación, incluyendo “Cookies y otros datos de sitios”. Es una medida algo incómoda, porque puede cerrar sesiones y obligarte a iniciar sesión de nuevo en servicios habituales, pero es la forma más directa de eliminar marcadores persistentes.
Este tipo de limpieza se parece a cambiar el felpudo y también barrer la entrada. Quitar la extensión es retirar al “invitado” problemático; borrar cookies es eliminar las huellas que pudo dejar dentro de casa.
Alternativas y cómo convivir con WebP sin depender de desconocidos
Según la información comentada en el propio artículo de Android Police, una alternativa que se menciona como opción segura es Save Image As PNG. Aun así, cualquier recomendación de extensiones merece una mirada crítica, porque el estado de una herramienta puede cambiar con el tiempo, por actualizaciones, compras del proyecto o cambios de propietario.
También conviene recordar que el problema original, WebP, no es un villano. Es un formato pensado para eficiencia. El conflicto está en la compatibilidad con algunos programas y flujos de trabajo. Si tu sistema o tus apps ya abren WebP, quizá la mejor “solución” sea ninguna. Y si necesitas convertir, a veces basta con abrir la imagen en una pestaña nueva y guardarla desde ahí, o usar herramientas de conversión de confianza que ya tengas integradas en tu sistema, evitando instalar complementos que pidan permisos amplios.
La regla práctica es sencilla: cuanto más “mágica” sea la promesa de una extensión y más acceso solicite, más merece que la mires como mirarías un correo que dice “haz clic aquí para arreglarlo todo”.
Una lección incómoda sobre la seguridad del navegador
Este episodio deja una idea clara: la seguridad en el navegador no se rompe solo con virus clásicos. A veces se erosiona por pequeñas concesiones acumuladas. Una extensión útil se instala por comodidad; luego se olvida. Y, en ese olvido, puede ocurrir un cambio de comportamiento que el usuario no detecta, hasta que la plataforma la marca como peligrosa.
Que Google desactive una extensión popular no significa que todo el sistema sea inseguro, pero sí recuerda que el Chrome Web Store no es una burbuja perfecta. Revisiones automáticas, denuncias y análisis posteriores conviven con la realidad de que algunas herramientas se cuelan, ganan usuarios y, solo más tarde, muestran su cara menos amable.